Coinbase Android Apps har sikkerhedsfejl, ekspert advarsler | DK.democraziakmzero.org

Coinbase Android Apps har sikkerhedsfejl, ekspert advarsler

Coinbase Android Apps har sikkerhedsfejl, ekspert advarsler

En canadisk programmør har udgivet, hvad han påstår er en sårbarhed i Coinbase Android-apps, en, der kan gøre det muligt for en hacker at få fuld adgang til en brugers konto.

Software Engineer Bryan Stern gik så langt som til at advare brugerne ikke at bruge Coinbase Bitcoin Wallet og Merchant apps til Android, indtil problemet er løst, og rådede dem til at tjekke deres konti for mistænkelig aktivitet.

Imidlertid har virksomheden siden reageret på Stern i en reddit tråd om, at sårbarhederne ikke var så alvorlig som Stern hævder.

Stern, der arbejder på Android udvikling på HootSuite, sagde han havde bragt spørgsmålet til Coinbase opmærksomhed via deres 'hvide hat' bug bounty program i begyndelsen af ​​marts, men der havde været en uenighed alvoren af ​​problemet.

Efter at finde hans problem til stede i den nyeste version af den app, besluttede han at frigive oplysninger offentligt den 27. Juni håb om, at en hurtig indsats ville blive taget.

Han skrev:

"Jeg mener ikke noget ondt udstationering dette, men jeg er frustreret over, at nogle sikkerhedsrettelser, der kan kræve måske 20 [Udvikling] timer at gennemføre, og er angiveligt om køreplanen 3 måneder siden er endnu ikke blevet behandlet."

Spørgsmålet ved hånden

Et lavere niveau af sikkerhed i de Android-apps kan tillade aflytning til at lancere en 'mand i midten' (MITM) angreb mod brugere, sagde Stern. Han skrev i sin rapport:

"Coinbase anbefaler klogt at alle klienter af deres API bør validere SSL certifikat præsenteres for forhindre MITM angreb. Men de undlader at gøre dette i deres egne Android-applikationer."

Takket være dette, kan en hacker præsentere en 'falsk' SSL certifikat (noget med en gyldig signatur, men fra en anden underskrivelse myndighed til den ene Coinbase bruger) og opsnappe kommunikation.

De client_idand client_secret elementer, en del af ansøgningen API, der bør være hemmelige, er i klar opfattelse i Coinbase kildekode offentliggjort på GitHub, Stern fortsatte. Disse vil derefter blive afsløret i løbet af en brugers autentificering proces og give en hacker med den yderst vigtige access_token.

Med et angreb etableret, plus det stjålne token, kunne en ondsindet hacker foretage API anmodninger på et senere tidspunkt på brugerens vegne - hovedsageligt tage fuld kontrol over deres konto.

Stern anbefalede Coinbase ændring client_idand client_secretand holde dem fortrolige i fremtiden. Han anbefalede også alle apps validere SSL-forbindelser ordentligt, og at de gør brug af Coinbase API forbedrede godkendelsesprocessen og stoppe med at bruge den forældet én.

Coinbasesaid truslen var kun en mindre en, og et angreb kunne kun udføres med succes under en specifik, men usandsynligt, sæt med omstændighederne.

Client_idand client_secretwere beregnet til at være offentlige og ikke forsvar mod hack angreb, et selskab repræsentant sagde, og mens SSL Pinning kan hjælpe mod nogle angreb, var det ikke et forsvar mod alle malware eller lokal ændring af certifikater.

Bug bounty program

Efter at have sin påstand i første omgang afvist af Coinbase den 14. Marts Stern skrev derefter et udkast blogindlæg advarer offentligheden om problemet og sendte det til virksomheden i april.

Også dette blev afvist, så han åbnede en rapport om HackerOne, et websted, hvor etiske hackere utilfreds med de eksisterende bounty-programmer kan afsløre sårbarheder privat.

Coinbase betalte Stern $ 100, men sagde, at det ikke ville være fastsættelse spørgsmålet, fører HackerOne at gøre offentligheden rapport. Da han fandt problemet stadig ikke fast i den nyeste version (2.2) af Coinbase apps, Stern besluttet at offentliggøre rapporten på sin blog.

Coinbase s bug dusør programpays et minimum $ 1000 i Bitcoin til alle, der kan finde en gyldig sikkerhedshul i sin kode, men virksomheden "forbeholder sig ret til at beslutte, om den mindste sværhedsgrad tærskel er opfyldt".

Virksomheden i April respondedto fordringer i marts, at dens 'Anmodning Penge' -funktion forlod brugere sårbare over for phishing forsøg. Funktionen tillod en bruger at finde ud af, om en e-mail-adresse blev knyttet til en Coinbase konto ved at indtaste det i et søgefelt.

Relaterade nyheter


Post Valutaveksling

1-800-Flowers.com tilføjer Bitcoin Betalinger i Marketing Drive

Post Valutaveksling

Bitcoin Faces Extinction uden kerneudviklingskonkurrence

Post Valutaveksling

Hvad Blockchain Industry siger om Circles Bitcoin Shift

Post Valutaveksling

Tokner kan være værdipapirer? Selv ICO Advisors er enige med SEC

Post Valutaveksling

ICOer: Teknikken er her, men hvor er standarderne?

Post Valutaveksling

Anmeld casts tvivl om fremtiden for Kinas bitcoin udvekslinger

Post Valutaveksling

Slående to gange? Lyns Joseph Poon tager på Ethereum Exchange Project

Post Valutaveksling

Risiko eller belønning: Hvordan Crypto bytter kontant ind på ny valuta

Post Valutaveksling

Bitcoin Adoption, ikke Kinas centralbank, ligger under legitimitet

Post Valutaveksling

Bitfinex til Hacker: Kan vi få vores Bitcoin tilbage?

Post Valutaveksling

Coinbase Co-Grundlægger: Ethereum Kunne Blow Past Bitcoin

Post Valutaveksling

Legitim? IRS forsvarer Coinbase Kundeundersøgelse i Court Filing